舊款路由器曝認(rèn)證繞過0day漏洞,思科稱已停售不予修復(fù)
責(zé)編:gltian |2022-09-09 13:32:08思科表示,由于多款小企業(yè)VPN路由器已達(dá)生命周期,因此不會(huì)修復(fù)其中的一個(gè)新的認(rèn)證繞過漏洞 (CVE-2022-20923)。
該漏洞是由一個(gè)密碼驗(yàn)證不當(dāng)?shù)乃惴ㄒl(fā)的。如果啟用了IPSec VPN服務(wù)器特性,則攻擊者可使用“構(gòu)造憑據(jù)”利用該漏洞登錄到易受攻擊設(shè)備上的VPN。思科在本周三發(fā)布的安全公告中指出,“成功利用可導(dǎo)致攻擊者繞過認(rèn)證并訪問 IPSec VPN網(wǎng)絡(luò)。攻擊者可能獲取管理員用戶權(quán)限,具體取決于使用的構(gòu)造憑據(jù)。”
用戶如需判斷路由器上是否啟用了IPSec VPN Server,則可登錄web管理接口,到 VPN > IPSec VPN Server > Setup處查看。如“服務(wù)器啟用”框已勾選,則設(shè)備被暴露到CVE-2022-20923利用嘗試下。
好在,思科表示產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)并未發(fā)現(xiàn)該0day已遭在野利用的證據(jù)。
更新路由器
思科要求仍然使用RV110W、RV130、RV130W和RV215W路由器的用戶更新至更新版本。
從思科網(wǎng)站上發(fā)布的終止使用公告來看,上述RV系列路由器停止發(fā)售日期是2019年12月。思科指出,“思科已不發(fā)布或者將不會(huì)發(fā)布軟件更新來解決公告中描述的漏洞。客戶應(yīng)遷移至思科小企業(yè)RV132W、RV160或RV160W路由器。”
CVE-2022-20923并非首個(gè)影響已達(dá)生命周期路由器且思科不修復(fù)的漏洞。
例如,2021年8月,思科表示不會(huì)修復(fù)RV系列路由器中的嚴(yán)重漏洞(CVE-2021-34730)。該漏洞可導(dǎo)致未認(rèn)證攻擊者以root用戶身份遠(yuǎn)程執(zhí)行任意代碼,要求用戶遷移至更新版本。
2022年6月,思科表示不會(huì)修復(fù)RCE漏洞(CVE-2022-20825),建議用戶升級(jí)至更新版本。
原文鏈接
https://www.bleepingcomputer.com/news/security/cisco-won-t-fix-authentication-bypass-zero-day-in-eol-routers/
來源:代碼衛(wèi)士
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧